Pass the Hash-Angriffe verstehen und vermeiden

So verhindern Sie Angriffe auf das Active Directory

Seite: 2/2

Firmen zum Thema

So verhindern Sie Pass-the-Hash-Angriffe

Um den Schutz vor PtH-Angriffen im Netzwerk zu erhöhen, müssen Unternehmen mehrere Maßnahmen ergreifen. Zunächst ist es sinnvoll, möglichst immer die aktuellsten Serverversionen einzusetzen und diese dauerhaft möglichst aktuell zu halten. Nichts lässt sich leichter angreifen, als in die Jahre gekommene, nicht gepatchte Server.

Als Authentifizierungsprotokoll sollte im Netzwerk nicht mehr Microsoft LAN Manager (NTLM), sondern mindestens NTLMv2 eingesetzt werden. Die lokale Speicherung von Hashes in Active-Directory-Umgebungen lässt sich ebenfalls verhindern. Microsoft erklärt in einem Knowledge-Base-Eintrag, wie dabei vorgegangen wird.

Benutzerkonten mit denen herkömmlich gearbeitet wird, auch von Administratoren, sollten niemals über Administrator-Rechte verfügen. Auch Administratoren sollten bei der normalen Arbeit mit normalen Benutzerkonten arbeiten. Nur bei Administrator-Aufgaben sollte mit speziellen Benutzerkonten gearbeitet werden.

In Netzwerken sollten darüber hinaus nicht zu viele Administrator-Konten vorhanden sein. Auch die Administrator-Konten sollten eingegrenzt sein und nur notwendige Rechte besitzen. Ein Administrator für Exchange muss nicht gezwungenermaßen auch über Administratorrechte in Active Directory oder auf SQL-Servern verfügen.

Natürlich sollten die Benutzerkonten über besonders sichere und komplexe Kennwörter verfügen. Experten empfehlen Kennwörter mit mindestens 15 Zeichen Länge. Aber auch hier sollte das Kennwort so oft wie möglich geändert werden. Administratoren müssen sich dann zwar häufiger neu anmelden, dafür steigt die Sicherheit.

Rechner auf denen sich Administratoren mit Administrator-Rechten anmelden, sollten so aktuell wie möglich sein und dem neusten Stand entsprechen. Die Rechner sollten möglichst nicht mit dem WLAN verbunden sein, da hier ebenfalls Sicherheitsgefahren lauern. Selbstredend sollte auch die Anzahl derartiger Rechner sehr begrenzt sein. Außerdem sollten die PCs in sicheren Räumen stehen und nur durch Administratoren nutzbar sein.

Administratoren sollten nur bei normalen Benutzerkonten mit E-Mails arbeiten. Administrator-Konten sollten über kein E-Mail-Konto verfügen. In Netzwerken mit E-Mail-Zugang sollte daher überprüft werden, dass keinerlei Administrator-Konten E-Mail-Zugang erhalten, auch dann nicht, wenn moderne Systeme wie Exchange zum Einsatz kommen.

Fazit

Um Pass the Hash-Angriffe zu verhindern, müssen viele Unternehmen umdenken – auch im Mittelstand. Die Arbeit der Administratoren wird unbequemer, da ständige Kennwortänderungen und Ummeldungen notwendig sind. Ohne Sicherheit sollten aber keine Netzwerke betrieben werden.

PtH-Angriffe gehören zu den gefährlichsten Angriffen auf Netzwerke. Das liegt daran, dass diese Angriffe Woche, Monate oder vielleicht sogar Jahre unbemerkt bleiben und Daten des Unternehmens während dieser Zeit problemlos abgegriffen werden können. Die Sicherheit lässt sich mit Bordmitteln und neuen Vorgehensweisen schon deutlich erhöhen. Daher sollten IT-Verantwortliche das Thema ernst nehmen.

(ID:43481859)